"verseuchte Dateien" finden - Tool?

[Reseller4711]

Hallo liebe KeyHelper,

ich habe mal eine Frage an Euch: Wie überprüft (scannt) Ihr denn Eure Kundenverzeichnisse?

Es gibt ja den Keyhelp Virusscan, aber mein Gefühl sagt mir, dass dies nicht ausreichend ist. Es kann ja immer mal (leider) vorkommen, dass ein Kunden-Web (weil veraltetes CMS) "gehackt" wird und die typischen manipulieren Dateien, Bilder, etc. hochgeladen werden oder Code in diverse Dateien geschrieben wird.

Gibt es hier ein Tool, dass Ihr nutzt und empfehlen könnt, dass automatisiert alle Verzeichnisse scannt und eine Email im Falle des Falles verschickt (idealerweise gleich mit Angabe der "verseuchten" Dateien").

Vielen Dank für möglichen Input und auf jeden Fall einen schönen Tag,

Grüße
Reseller 4711 - Der M.

[select name from me;]

Ein fertiges Tool kann ich Dir leider nicht empfehlen, da wir dieses Problem so nicht haben.
Es kommt natürlich auch immer auf den eigenen Einsatzzweck an.

Eine Möglichkeit wäre mit Hilfe eines Intrusion Detection Systems (IDS) wie https://de.wikipedia.org/wiki/Open_Source_Tripwire zu prüfen, ob sich Dateien geändert haben. Damit findet man auch neue Bedrohungen. Allerdings ist es manueller Aufwand, da man die Änderungen prüfen muss.

Für manche CMS gibt es fertige Tools:
https://dannyvankooten.com/periodically ... fications/

Ein anderer Ansatz ist nach Signaturen zu scannen. Damit rennt man aber immer den Angreifern hinterher.

Das sind Beispiele für reguläre Ausdrücke, die mögliche Infektionen in HTML, JS und .htaccess Dateien finden:

Code: Select all

<?php
$pest = array(
	'#<sc'.'ript>var f=do'.'cument.cr'.'eateElement\("iframe"\);var url=#',
	'#<!-- [a-z0-9]{5,10} -->.+?<!-- [a-z0-9]{5,10} -->#',	
	'#<!--[a-z0-9]{5,10}-->.+?<!--/[a-z0-9]{5,10}-->#',
	'#echo\(g'.'zinflate\(ba'.'se6'.'4_dec'.'ode#',
	'#eval\(base64_decode#',
	'#document.write\(\'<script src="http://#',
	'#\$[a-z]{3,5} = "<script src=\"http://#',
	'#RewriteCond \%\{HTTP_REFERER\}#',
);

Eine kommerzielle Lösung wäre vielleicht auch eine Option:
https://ispprotect.com/

Ich hoffe, dass hilft Dir weiter.

[Reseller4711]

Danke Dir für den guten Ansatz.

Eine kommerzielle Lösung wäre vielleicht auch eine Option:
https://ispprotect.com/

Ich hoffe, dass hilft Dir weiter.

Das klingt ziemlich gut und ich kann mir das gut vorstellen. Der jährliche Preis ist ja überschaubar.

Leider ist es ja so, dass viele Kunden einen Wartungsvertrag scheuen und sich unterm Strich nicht um CMS Updates, et. kümmern. Das kann schon die ein oder andere Tür öffnen. Und es gibt ja leider auch noch CMS (und/oder Extensions) für die es keine Updates mehr gibt, was die Sache nicht erleichtert, der Kunde aber die Notwendigkeit einer "neuen Seite" nicht einsieht. Alles kompliziert. Im nächsten Leben werde ich Pfarrer

[select name from me;]

Alles kompliziert. Im nächsten Leben werde ich Pfarrer

[Reseller4711]

Übrigens ispprotect hat tatsächlich einige Dateien gefunden, die in der Tat evil sind und bisher nicht erkannt wurden. Also auf den ersten Blick aktuell genau das richtige für mich

[nikko]

Zusätzlich und für deine Serversicherheit kannst du rkhunter und chkrootkit einsetzen, fällt mir dazu gerade so ein.

[select name from me;]

Übrigens ispprotect hat tatsächlich einige Dateien gefunden, die in der Tat evil sind und bisher nicht erkannt wurden. Also auf den ersten Blick aktuell genau das richtige für mich

Super, das freut mich.